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L'administration de la sécurité 
doit devenir proactive 


Que l'on choisisse une console généraliste 


ou des outils spécialisés, l'administration 
de la sécurité bute sur le flux 
d'informations à traiter. Une démarche 
proactive est alors indispensable. 

Mais toutes les tâches ne sont pas 
automatisables. Par Guy Leroy 


En entreprise, pare-feu, IDS 
et autres sondes veillent. 


des incidents sur les proces- 
sus métiers », assure Valère 


Mais les informations qu'ils  Pascolo, consultant chez CA. 
remontent en temps réel Vientl'autre difficulté de l'ad- 
doivent être traitées dans ministration de la sécurité : 
des délais adéquats, afin trier les informations. 
de réagir efficacement. C'est « Tout n’est pas à surveiller, 
le rôle dévolu aux supervi- rappelle Bernard Foray. Cer- la base de scans, explique 
seurs SIM (Security informa- tains fichiers de logs atteignent Gerhard Eschelbeck. Dès lors, 
tion manager), disponibles plusieurs gigaoctets par jour. une console SIM, comme celle 
chezles grands del’adminis- Et il faut définir ce que l'on d’ArcSight ou de Netforensics, 
tration (IBM, HP Computer  décideexplicitementdenepas possible en corrélant lesin- ne crée pas d'alerte inutile. » 
Associates [CA]..)ouchezles gérer. » Ce qui nécessite des formations. Sur quelréféren- Mieux : si une machine est 
spécialistes de la sécurité (tels  compétencesdansl'entreprise tielle superviseur SIM s'ap- vulnérable à Blaster alors la 
NetIQ ou ISS). ou via un MSSP En effet, puiera-t-il pour détecter les console bloquera les accès 
Généraliste ou spécialisée, déplore Jean-Marc Grémy, menaces ? Gerhard Eschel- vers cette machine sur le 
chaque solution a ses forces «trop d'entreprises pensent beck, directeur technique de pare-feu, sans déconnecter 
etses faiblesses. André Gras,  qu’'avoir investi dans deséqui- Qualys, propose un « inter- toute l'entreprise. 

| RSSI de la Coface, « apprécie pements suffit, et qu'exploiter  façage avec la base des vul- 
l'approche centralisée de CAà les données est inutile. » Phi-  nérabilités du réseau de l'en- Un délai qui permet 
travers un portail unique de  lippeLaunayresponsable des  treprise détectées par notre une certaine proactivité 
pilotage de l'ensemble descom- offres MSSP chez Sodifrance, scanner. » Habituellement,un « Cela laisse le temps d'instal- 
posants, même de produits insiste :« Nous ne plaçonsun IDS alerte quand il détecte, ler le patch, décrit Gerhard 
tiers ». Bernard Foray, RSSI IDSquesinotrespécialisteest par exemple, le ver Blaster,  Eschelbeck. Dans le cas de 
de Gemplus, privilégie l'op- présent pour analyser les logs, même si la cible est un ser- Blaster, la vulnérabilité de Win- 
tion inverse : « Ne pas cen-  viaWebTrends. » Unecertaine veur Unix, quinerisquerien. dows exploitée était connue 


traliser réduit le risque de 


automatisation est toutefois 


« Cette information est dans 


depuis trois semaines. » Ce 


panne générale. De plus, insé- délai, qui tend à se réduire, 
rer le SIM dans HP OpenView SAVOIR FILTRER LA “SUBSTANTIFIQUE MOELLE” permet une certaine proacti- 
serait très lourd. » vité. Un éditeur tel que Micro- 
Reste que la sécurité doit s’in- muse s'interface avec les ser- 
tégrer plus fortement aux veurs spécialisés du Cert, pour 
applications. « Le RSSI doit être averti des nouveaux 
avoir une vision métier »,note risques. Enfin, si les signatu- 

| Jean-Marc Rémy, directeur res des attaques ne sont pas 
technique d'Ipelium. Une dé- ou systèmes. encore référencées, Stéphane 
marche qui est à l'origine Il faut aussi pouvoir Wuilliez, d'IBM, estime que 
d'outils comme SCC (Secu- rejouer l'alerte « le moteur d'analyse générique 
rity Command Center) eTrust, avec tous ses de Tivoli Risk Manager détecte 
de CA, « qui montre l'impact la menace ». m 
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